FACULDADE SEAMA Clenilson da Silva Queiroz

As Diretivas de Grupos, Permisses Windows Server 2003

Macap 2011

Clenilson da Silva Queiroz

As Diretivas de Grupos, Permisses Windows Server 2003

Monografia apresentada junto ao curso de Redes de Computadores da Faculdade SEAMA, Disciplina Sistema Operacional Proprietrio. Orientador Prof. Celio Nascimento

Macap 2011

Resumo
O recurso de Group Policy Objects (GPO) de grande utilidade para o administrador. Com o uso de GPO o administrador pode definir as configuraes de vrios elementos da estao de trabalho do usurio, como, os programas que estaro disponveis, os atalhos do menu iniciar que estaro disponveis configuraes de Internet, de rede. O administrador pode configurar, via GPO, quais grupos de usurios devero ter acesso ao cardpio Executar e quais no tero, pode configurar a pgina inicial do Internet Explorer para um grupo de usurios ou para toda a empresa, pode fazer configuraes de Proxy, So inmeras das opes de configuraes que esto disponveis via GPO. As Diretivas de Grupo podem ser aplicadas tanto para usurios quanto para computadores clientes, servidores membros, controladores de domnio. Por padro, temos uma GPO padro do domnio, a qual aplicada para todos os computadores e usurios do domnio.

Sumrio Introduo.........................................................................................................5 GPO Delegao de Poderes...........................................................................7 Exemplo figura1...............................................................................................8 Propriedade e Permisses de Segurana em UO..................................9 Exemplo figura2...............................................................................................9 Lista de Permisses Exemplo figura3.....................................................10 Polticas de senhas para Domnio............................................................11 Exemplo figura4, figura5............................................................................12

Introduo
No Active Directory existe uma unidade organizacional especfica para os controladores de domnio. Nessa unidade organizacional tambm existe, por padro, uma GPO1 que utilizada para gerenciamento dos controladores do domnio. Podemos citar as GPOS: Default Domain Policy e Default Domain Controllers Policy. As GPOs incluem configuraes que so aplicadas em nvel de usurio (ou seja, em qualquer estao de trabalho que o usurio faa o logon, as polticas associadas a sua conta de usurio sero aplicadas) e em nvel de computador (ou seja, qualquer usurio que faa o logon no computador ter as polticas de computador aplicadas). Por exemplo, se o administrador definiu uma poltica de usurio para o grupo do usurio josesilva, de tal maneira que o menu Executar no deva estar disponvel para este grupo. Em qualquer estao de trabalho que o jsilva fizer o logon, o menu executar no estar disponvel. Agora imagine que o administrador configurou uma poltica de computador, para o grupo de computadores da seo de contabilidade, definindo que o menu Executar no deve estar disponvel nestes computadores. Qualquer usurio que faa o logon em qualquer um dos computadores da seo de contabilidade, no ter disponvel o menu Executar, independentemente dos grupos aos quais pertena a conta do usurio, uma vez que a poltica est sendo aplicada ao computador independentemente do usurio que esteja utilizando-o. Esses recursos disponibilizar uma serie de funes como:

Gerenciar centralizadamente configuraes definidas no registro do Windows: As Diretivas de Grupo criam arquivos que possuem as configuraes do Registro do Windows. Estes arquivos so carregados e aplicados nas estaes de trabalho dos usurios, na parte da mquina local ou de usurio do banco de dados do Registro. As configuraes de perfil de usurio especficas a um usurio que faz logon em uma determinada estao de trabalho ou servidor so gravadas no Registro em HKEY_CURRENT_USER (HKCU) e as configuraes especficas do computador so gravadas em HKEY_LOCAL_MACHINE (HKLM).

A GPO local gravada, por padro, na seguinte pasta: systemroot%\System32\Grouppolicy.

Atribuir scripts: atravs das GPOs voc podem tambm distribuir scripts para serem executados no logon, inicializao, logoff e desligamento dos computadores. Fazer o redirecionamento de pastas: possvel tambm configurar as GPOs de tal forma que algumas pastas, como por exemplo, Meus Documentos e Minhas Imagens, sejam redirecionadas automaticamente para uma pasta compartilhada em um servidor. Com isso, os dados dos usurios estaro disponveis no servidor e podero ser acessados a partir de qualquer estao de trabalho da rede, na qual o usurio faa o logon. Outra vantagem da utilizao do redirecionamento de pastas que voc pode criar uma poltica de backup centralizada. Fazer o gerenciamento centralizado de aplicativos: outro recurso muito interessante das GPOs a distribuio de softwares. Voc pode fazer a distribuio dos softwares de forma automtica nas estaes de trabalho. Podemos utilizar os mtodos Associar e Publicar. Com o mtodo Associar, ser exibido o cone da aplicao no menu Iniciar da estao de trabalho. Basta o usurio clicar no cone para que a aplicao seja instalada. Com o mtodo Publicar, o usurio dever instalar a aplicao atravs do Adicionar ou remover programas, no Painel de Controle. Aplicar configuraes de segurana: possvel tambm definir polticas de senha e polticas de bloqueio de conta. Por exemplo, voc pode definir que a senha das contas de usurio devem ser trocadas a cada 30 dias e que o tamanho da senha deve ser de 9 caracteres no mnimo. possvel ainda definir que se o usurio errar sua senha por 3 vezes em um perodo de 30 minutos, sua conta ser bloqueada. Tudo isso de forma centralizada.

Essa introduo um dos passos para entrarmos em polticas de Permisses do Windows Server 2003, as chamadas delegaes de poderes.

GPO Delegao de Poderes

Quando trabalhamos com uma rede pequena, com poucas pessoas no time de suporte, no existe a necessidade de utilizar a delegao de permisses em GPOs. Nesses casos temos um ou dois administradores de rede que fazem configuraes nas GPOs. Porm, em redes maiores, com muitas localidades remotas, vrios departamentos e vrios administradores de rede e analistas de suporte, podem ser interessantes configurar a delegao de permisses. Imagine uma empresa que possui 16 departamentos. Cada um desses departamentos identificado no domnio como uma unidade organizacional, e em cada uma dessas unidades organizacionais temos uma GPO especfica para cada departamento. Ser que todos os administradores de rede e analistas de suporte precisam de direitos para configurar a GPO em todos os departamentos? Ou seria mais interessante delegar permisses para no mximo dois analistas de suporte em cada unidade organizacional? Enfim, com o recurso de delegao voc pode realizar uma srie de configuraes. Quando trabalhamos com as GPOs e o GPMC, podemos delegar uma srie de tipos de poderes administrativos, como por exemplo:

Criar GPOs: esse direito permite que um usurio crie GPOs. Editar GPOs: esse direito permite que um usurio edite uma determinada GPO. Vinculao de GPOs: esse direito permite que um usurio associe GPOs com domnios ou sites ou unidades organizacionais. Executar o RSoP: esse direito permite que o usurio utilize o recurso de RSoP.

Para delegar o direito de criao de GPOs siga os passos do exemplo abaixo. Exemplo prtico Delegar o direito de criao de GPOs

Efetue o logon no controlador de domnio DC01 com a conta Administrador. Clique em Iniciar -> Ferramentas Administrativas -> Group Policy Management. O console GPMC ser aberto.

Expanda as opes Florest -> Domains -> Nome do Domnio -> Group Policy Objects. No painel da direita, clique na guia Delegao. Nessa tela so exibidos todos os usurios e grupos que possuem o direito de criao de GPOs, conforme a figura1.

Para remover o direito de criao de GPO de um usurio ou grupo, basta selecionar o objeto desejado e clicar no boto Remove. Na tela que ser exibida, clique em OK. Para adicionar o direito de criao de GPOs para um usurio ou grupo, clique em Adicionar, selecione a conta de usurio ou grupo e clique em OK. Ao adicionar o direito de criao de GPOs para um usurio ou grupo, voc estar tambm definindo que esse usurio ou grupo poder tambm editar as configuraes de uma GPO.

Propriedades e Permisses de Segurana em Unidade Organizacionais (UO).

Todos os objetos do Active Directory (usurios, grupos, computadores, Unidades Organizacionais e assim por diante) tm um conjunto de propriedades e uma lista de permisses associadas. Neste item mostrarei as principais propriedades de uma OU e as configuraes de segurana associadas. Para acessar as propriedades de uma OU, basta abrir o console Usurios e Computadores do Active Directory, localizar a OU desejada, clicar com o boto direito na OU e, no menu de opes que exibido, clicar em Propriedades. Ser exibida a janela de Propriedades da OU, com a guia Geral selecionada por padro, conforme indicado na Figura 2.

10

Na guia Geral so exibidas informaes sobre a OU, tais como Cidade, pas, etc. Na guia Gerenciado por voc pode selecionar um usurios que ser o contato e o responsvel pelo gerenciamento da OU. Normalmente o usurio que recebeu permisses para gerenciar os objetos da OU, atravs do uso do assistente para Delegao de controle, descrito anteriormente. Clique na guia Segurana. Ser exibida uma lista de usurios e grupos, com permisses de acesso a OU e aos objetos da OU. Este uma lista de permisso de segurana igual a tantas outras utilizadas no Windows Server 2003, como por exemplo uma lista de permisses NTFS de acesso a pastas e arquivos conforme a figura 3.

11

Polticas de Senhas para o Domnio

As polticas de segurana so definidas para o domnio como um todo, ou seja, uma vez definidas elas passam a valer em todo o domnio. Esta um das caractersticas determinantes de um domnio, ou seja, o compartilhamento de um conjunto nico de polticas de segurana. Estas polticas esto divididas em trs grupos, conforme descrito a seguir: Password Policy (Polticas de Senha): Estas polticas definem as caractersticas que as senhas devem ter. Por exemplo: qual o nmero mnimo de caracteres deve ser trocado de quantos em quantos dias, devem ou no atender a critrios de complexidade e assim por diante. Account Lockout Policy (Polticas para Bloqueio de Senha): Estas polticas definem quando uma conta ser bloqueada, com base em um nmero de tentativas de logon sem sucesso. Por exemplo, o administrador pode definir que se o usurio tentar fazer trs logons sem sucesso (por exemplo, digitando uma senha incorreta para a sua conta) dentro do perodo de uma hora, que a conta seja bloqueada. Estas polticas so utilizadas para evitar que um usurio mal intencionado tente sucessivamente fazer o logon, usando diferentes senhas, em uma tentativa de adivinhar a senha do usurio. Kerberos Policy (Polticas do Kerberos): O Kerberos um protocolo de autenticao utilizado por muitos sistemas operacionais, como por exemplo, o Windows 2000 Server, Windows Server 2003 e muitas verses do UNIX. um protocola padro e muito utilizado. Existem algumas polticas de segurana relacionadas ao protocolo Kerberos que podem ser definidas pelo administrador. Estas polticas so configuradas usando o console Diretiva de segurana de domnio, o qual acessado Iniciar -> Ferramentas Administrativas. Ao abrir o console Diretiva de segurana de domnio sero exibidas diversas opes de configuraes de polticas de segurana do domnio. Clique no sinal de +, ao lado da opo configuraes de segurana. Sero exibidas vrias opes. A primeira opo, no painel da esquerda, : Diretivas de conta. Ao clicar no sinal de + ao lado desta opo, so exibidas as opes Diretivas de senha, Diretivas de bloqueio de conta e Diretivas do Kerberos, conforme indicado na figura 4.

12

Ao clicar em uma das opes, por exemplo, Diretivas de senha, as diversas diretivas da opo selecionada ser exibida no painel da direita, conforme indicado na Figura 5.

Para que todas as opes da janela de propriedades de um objeto do Active Directory estejam disponveis, voc deve fazer com que as opes avanadas sejam exibidas. Para tal basta usar o comando Exibir -> Recursos avanados, no console Usurios e Computadores do Active Directory. Execute este comando antes de seguir adiante.

13

Referencia Bibliogrfica
<<http://technet.microsoft.com/pt-br/library/cc753731.aspx>> <<Windows.Server.2003.Curso.Completo.WwW.TheRebels.biZ.tHeDe atH>> <<http://www.fabianosantana.com.br/windows-server-2003>>